Disceptator

Ja sie wurden geändert. sorry, hab vergessen das zu erwähnen. Die gegenüberstellung von den Einstellungen und den Results habe ich bereits gepostet. Hier ist sie nochmal mit den jetzigen Einstellungen: ok, wäre ja vielelicht auch eine Möglichkeit gewesen. Nein nicht in den Sicherheitseinstellungen. Habe nur die Funktionalität der default domain policy getestet, ob die Änderungen übernommen werden. Aber Audit Einstellungen greifen ebenso wenig. Es scheint, dass der ganze Block - Sicherheit betroffen ist. :mad: Vielen Dank für die Hilfe und Anregungen bisher :)

Also hier alles gesammelt :) {31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf DC1 (Exchange) -> auch der PDC emulator [system Access] MinimumPasswordAge = 0 MaximumPasswordAge = 56 MinimumPasswordLength = 6 PasswordComplexity = 1 LockoutBadCount = 0 RequireLogonToChangePassword = 0 ForceLogoffWhenHourExpire = 0 DC2 (Fileserver) [system Access] MinimumPasswordAge = 0 MaximumPasswordAge = 56 MinimumPasswordLength = 6 PasswordComplexity = 1 LockoutBadCount = 0 RequireLogonToChangePassword = 0 ForceLogoffWhenHourExpire = 0 DC3 (Aussenstelle) [system Access] MinimumPasswordAge = 0 MaximumPasswordAge = 56 MinimumPasswordLength = 6 PasswordComplexity = 1 LockoutBadCount = 0 RequireLogonToChangePassword = 0 ForceLogoffWhenHourExpire = 0 Soweit die Einstellungen. Als Zip der GPMC HTML Report der default domain policy.(Ist auf allen DCs gleich) Nc HEad hat die alten Einstellungen. War mit dem PDC verbunden. Hierzu eine Frage, reicht es vielelicht aus die Werte dort zu editieren? Was kann ich mir damit kaputtmachen? Naja, die gesamte Domäne :/ Testweise änderungen von default domain policy funktionieren. Das mit der SCECLI löschung steht aus. Hoffe hab nun alles beisammen :)

Die Vererbung ist aktiv = kein Häkchen In dem NC Head stehen die fehlerhaften Werte drin. (Also nicht die die wir eingestellt haben, sondern die alten Werte) Genau das ist ja das Problem :(. Änderungen geschehen über defaulf Domain Policy. Die esentutl /g %windir%\security\database\secedit.sdb -> Datenbank ist ok.

Sehe keinerlei Logeinträge, weder positiv noch negativ. Richtlinienvererbung auf die CD OU ist aktiv

ja, es gibt ein paar gelöschte, kommen die Warnungen dadurch zustande?

wenn ich die comupterkonfiguration aufklappe ist das ausrufezeichen nicht zu sehen. Taucht nur hier auf... Die Computer und Benutzerkonfiguration sind beide aktiv. ist jeweils nach gpupdate zu sehen: Montag, 20. Oktober 2008 14:55:01 Security hat angefordert, die Richtlinieneinstellungen erneut zu verarbeiten. Dies kann durch einen nicht-kritischen Fehler, der während der vorherigen Verarbeitung der Richtlinie aufgetreten ist, verursacht worden sein. na toll, welchen nicht kritischen fehler meinen die??

ich habe nach dem RSOP aufruf auf dem dc ein ausrufezeichen bei der computerkonfiguration... Kann aber nicht lokalisieren, was es sein kann und wodurch es verursacht wird.

Folgende Sitiuation liegt nun bei uns vor: - sämtliche Arbeitsstationen erhalten die gewünschte Richtlinie! (lokale Tests auf den jeweiligen Rechnern zwingen uns demnach zur Passwortkomplexität) - auch alle Server in der Domäne (nicht Controller) unterliegen gewünschten Richtlinien (lokal) - Auf allen 3 DC werden die Richtlinien nicht angewendet (net accounts liefert immer noch alte Einstellungen), obwohl in der Datei GptTmpl.inf alle Konfigurationspunkte der GPO korrekt eingetragen sind. Bin mit meinem Latein am Ende :o( p.s.: Koffeinmangel ist immer schlecht ^^

Also, nach mehrtägiger Internetrechere und posting hier im Forum, immernoch dasselbe Problem. Die GPO für Kennwortrichtlinien werden übernommen, aber nicht angewendet. Andere GPOs die auf der Domänenrichtlinie definiert werden, sind ohne Fehler übernommen worden. Weiss wirklich nicht ,mehr weiter woran es liegen könnte. Es sind wirklich nur die Kennwortrichtlinien die Probleme verursachen, diese sind aber nunmal zu ändern :( Link zum alten Thread: http://www.mcseboard.de/windows-forum-ms-backoffice-31/kennwortrichtlinienaenderung-greift-141975.html

Vererbung von übergeordnetem Container?

ist auch sp2 :) die Schema Version der AD ist auch auf 31 erweitert worden bei der installation des R2

meinte windows 2k3 R2

Gibt es zwischen den beiden Probleme, wenn man sie zusammen in einer Domäne betreibt? Worauf ist es zu achten? meinte windows 2k3 R2

ja, genauso sieht es aus. Es existieren irgendwo anscheinend noch gecachte policies?? Sie werden übernommen, augenscheinlich, aber sie greifen nicht. – irgendjemand eine idee ?

hab ich ja gemacht, hat auch nach gpupdate auf client und server funktioniert. Windows Player den Reiter Sicherheit ausgeblendet über default domain policy so wird dies auch so übernommen, der reiter ist dann ausgeblendet.

ja das mein ich ja, woher hat er diese Einstellungen???? beide beziehen ihre Einstellungen aus derselben default domain policy.

Es ist einmal eine Workstation in der Produktion udn einmal einer der DCs. Das gpresult gibt ja die richtigen Einstellungen wieder -> auf der WS. Was ich nicht verstehe ist, dass die Einstellungen auf dem dc komplett anders sind. Wo kriegt er diese her? die default domain policy hat diese Einstellungen nicht. Wenn ich von Windows Player den Reiter Sicherheit ausblenden lasse über default domain policy wird dies auch so übernommen, der reiter ist dann ausgeblendet.

und diese lautet: Default Domain Policy Daten ermittelt am: 15.10.2008 15:25:34 Alle ausblenden AllgemeinAusblenden DetailsAusblenden Domäne Besitzer Domänen-Admins Erstellt 28.05.2002 16:03:30 Verändert 15.10.2008 13:59:48 Benutzerrevisionen 8 (AD), 8 (sysvol) Computerrevisionen 263 (AD), 263 (sysvol) Eindeutige Kennung {31B2F340-016D-11D2-945F-00C04FB984F9} Status Aktiviert VerknüpfungenAusblenden Speicherort Erzwungen Verknüpfungsstatus Pfad domain Nein Aktiviert domain Die Liste enthält Verknüpfungen zur Domäne des Gruppenrichtlinienobjekts. SicherheitsfilterungAusblenden Die Einstellungen dieses Gruppenrichtlinienobjekts können nur auf folgenden Gruppen, Benutzer und Computer angewendet werden:Name NT-AUTORITÄT\Authentifizierte Benutzer WMI-FilterungAusblenden Name des WMI-Filters Kein Beschreibung Nicht anwendbar DelegierungAusblenden Folgende Gruppen und Benutzer haben die angegebene Berechtigung für das GruppenrichtlinienobjektName Erlaubte Berechtigungen Geerbt domain\Domänen-Admins Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein domain\Organisations-Admins Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein NT-AUTORITÄT\Authentifizierte Benutzer Lesen (durch Sicherheitsfilterung) Nein NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION Lesen Nein NT-AUTORITÄT\SYSTEM Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein Computerkonfiguration (Aktiviert)Ausblenden Windows-EinstellungenAusblenden SicherheitseinstellungenAusblenden Kontorichtlinien/KennwortrichtlinienAusblenden Richtlinie Einstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiviert Maximales Kennwortalter 56 Tage Minimale Kennwortlänge 6 Zeichen Minimales Kennwortalter 1 Tage

keine Fehlermeldungen in Systemlog. Kennwortrl war die test richtlinie die gelöscht ist. gpresult auf workstation: Kontorichtlinien ---------------- Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MinimumPasswordAge Computereinstellung: 1 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MinimumPasswordLength Computereinstellung: 6 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: LockoutBadCount Computereinstellung: Nicht zutreffend Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MaximumPasswordAge Computereinstellung: 56 Vererbung ist nicht deaktiviert. Für Änderungen werden weiterhin die alten Einstellungen verlangt. Meldung auf Workstation bei Kennwortänderung über strg-alt-entf --------------------------- Kennwort ändern --------------------------- Das Kennwort muss aus mindestens 2 Zeichen bestehen. Es darf nicht mit einem der letzten 1 Kennwörter identisch sein und muss mindestens 1 Tage alt sein. Geben Sie ein anderes Kennwort ein. Geben Sie ein Kennwort in beide Textfelder ein, das diesen Anforderungen entspricht. --------------------------- OK --------------------------- Edit: Gruppenrichtlinienergebnisse domain\admin auf domain\dcname Daten ermittelt am: 15.10.2008 15:05:52 Kontorichtlinien/KennwortrichtlinienAusblenden Richtlinie Einstellung Ausschlaggebendes Gruppenrichtlinienobjekt Kennwort muss Komplexitätsvoraussetzungen entsprechen Deaktiviert Default Domain Policy Kennwortchronik erzwingen\ngespeicherte Kennwörter 1 gespeicherte Kennwörter Default Domain Policy Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert Default Domain Policy Maximales Kennwortalter 60 Tage Default Domain Policy Minimale Kennwortlänge 2 Zeichen Default Domain Policy Minimales Kennwortalter 1 Tage Default Domain Policy domain\username auf domain\workstationname Daten ermittelt am: 15.10.2008 15:11:47 Kontorichtlinien/KennwortrichtlinienAusblenden Richtlinie Einstellung Ausschlaggebendes Gruppenrichtlinienobjekt Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiviert Default Domain Policy Maximales Kennwortalter 56 Tage Default Domain Policy Minimale Kennwortlänge 6 Zeichen Default Domain Policy Minimales Kennwortalter 1 Tage Default Domain Policy Ich verstehe das nicht, beide beziehen die einstellungen von derselben defaulft domain policy...

gpupdate wurde durchgeführt Wir haben testweise noch eine rl auf der domänenebene erstellt. Ist nun gelöscht. Die Einstellungen die wir in der default domain policy machen werden nicht aktiv. nach gpupdate auf dem dc sehe ich immernoch die alten einstellungen. die kontoeinstellungen: Richtlinie Richtlinieneinstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiviert Kennwortchronik erzwingen Nicht definiert Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern Nicht definiert Maximales Kennwortalter 56 Tage Minimale Kennwortlänge 6 Zeichen Minimales Kennwortalter 1 Tage das gpresult: Kontorichtlinien ---------------- Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MaxServiceAge Computereinstellung: 600 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MaxTicketAge Computereinstellung: 10 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MinimumPasswordAge Computereinstellung: 1 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: PasswordHistorySize Computereinstellung: 1 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MaxClockSkew Computereinstellung: 60 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MinimumPasswordLength Computereinstellung: 2 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: LockoutBadCount Computereinstellung: Nicht zutreffend Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MaximumPasswordAge Computereinstellung: 60 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MaxRenewAge Computereinstellung: 7 als admin am dc angemeldet

Hallo und Hüülfeeee!!! Wir hatten bisher einfache Kennwortrichtlinien bei uns in der Domäne. Richtlinie Sicherheitseinstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen Deaktiviert Kennwortchronik erzwingen 1 gespeicherte Kennwörter Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert Maximales Kennwortalter 60 Tage Minimale Kennwortlänge 2 Zeichen Minimales Kennwortalter 1 Tage Die Geschäftsführung möchte nun aber komplexere Passwörter und wechselnde Passwörter haben. Die Änderungen haben wir in der Domänenpolicy durchgeführt auf: Richtlinie Sicherheitseinstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiv Kennwortchronik erzwingen deaktiviert Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert Maximales Kennwortalter 60 Tage Minimale Kennwortlänge 6 Zeichen Minimales Kennwortalter 1 Tage Nun zum Problem. Die Passwörter können weiterhin nach den alten Vorgaben geändert werden. Warum?? gpresult -v auf der jeweiligen station Kontorichtlinien ---------------- Gruppenrichtlinienobjekt: Kennwortrl Richtlinie: MinimumPasswordAge Computereinstellung: Nicht zutreffend Gruppenrichtlinienobjekt: Kennwortrl Richtlinie: MinimumPasswordLength Computereinstellung: 6 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: LockoutBadCount Computereinstellung: Nicht zutreffend Gruppenrichtlinienobjekt: Kennwortrl Richtlinie: MaximumPasswordAge Computereinstellung: 60 Es sind die Einstellungen von der domain Policy. wenn ich das Kennwort ändere bekomme ich als Fehlermeldung: --------------------------- Kennwort ändern --------------------------- Das Kennwort muss aus mindestens 2 Zeichen bestehen. Es darf nicht mit einem der letzten 1 Kennwörter identisch sein und muss mindestens 1 Tage alt sein. Geben Sie ein anderes Kennwort ein. Geben Sie ein Kennwort in beide Textfelder ein, das diesen Anforderungen entspricht. --------------------------- OK --------------------------- und wenn ich die lokale (ausgegraute) lokale Sicherheitsrichtlinie mit gpedit.msc auf einem der DC aufrufe bekomme ich auch die alte Kennwortrichtlinienregelung. weiss momentan nicht weiter, woran es liegen könnte :( Es sieht alles richtig aus, auch über das gpresult. Warum werden die Einstellungen nicht übernommen? Warum haben wir immernoch die alten Einstellungen auf den DCs, obwohl die default domain policy auch für diese greifen sollte?

Ja normalerweise :) man kommt fast immer in das system, auch ohne profil. Das kannte ich gar nicht, danke

Total Commander kann das, wenn ich mich recht erinnere.

Benne das Ursprungsprofil um. Dann wird neues Profil angelegt. Profile gehen ab und an kaputt, ohne dass es ein virus sein muss :).

Vielen Dank :) Das Tool ist klasse, genau das was ich gebraucht hab!